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95 925 045.7 
LA POSTE 

Die Erfindung betrifft ein Zugangskontrollsystem mit 
autorisierten und mittels eines Speichertragers erneuerbaren 
Stundenbereichen . 

Die Erfindung betrifft insbesondere das Gebiet der 
Zugangskontrolle von Gebauden, Informatiksystemen oder alien Arten 
von anderen Systemen, deren Benutzung kontrolliert werden mu£. 

Die bekannteste Art, einen Zugang zu verschlieSen, besteht 
darin, ein mechanisches Schlofi anzubringen und den Personen mit 
Zugangsberechtigung einen Schlussel auszuhandigen, wobei es sich 
um ein Gebaude oder irgendein anderes Objekt handeln kann. 
Selbstverstandlich beruht der Nachteil dieser Methode auf der 
Tatsache, daS die mechanischen Schlussel leicht zu duplizieren 
sind. Ein solcher Schlussel kann auch gestohlen und vom Dieb 
benutzt werden, wobei dann die einzige Abhilfe darin besteht, den 
Zylinder des Schlosses auszutauschen. 

Eine zweite Methode, aber diesmal elektronisch, besteht 
darin, eine SchloS mit einer PaSwort vorzusehen. Nur die Benutzer, 
die das PaSwort kennen, konnen das geschutzte Gebaude betreten. 

Leider ist diese Losung nicht sicher. Wenn z.B. ein 
Benutzer sein PaSwort auf einer Tastur eingibt, ist es ohne 
weiteres moglich, dieses PaSwort mit einer entsprechenden 
Elektronik zu lesen, so daS eine Person mit schlechten Absichten 
es miSbrauchlich benutzen kann. 

AuSerdem ist bekannt, den Zugang zu Computerprogrammen 
mittels eines Pafiworts zu schutzen. Dieser Schutz hat den 
vorhergehend erwahnten Nachteil . 

Man kennt auch ein Authentisierungsverf ahren, Kerberos 
genannt, das ermoglicht, den Zugang zu einem offenen Datennetz zu 
schutzen. Eine Beschreibung dieses Verfahrens findet man in der 
MIT-Verof fentlichung vom 30. Marz 1988 mit dem Titel "An 
Authentif ication Service for Open Network Systems". 

Dieses Verfahren ermoglicht, einen "Kunden" , d.h. einen 
Benutzer zu identif izieren und ihm einen Zugang zu einem Server zu 
ermoglichen (zu einer Dienstleistung, einer Anwendung, einem 
Programm) , indem es ihm dazu ein elektronisches Ticket und noch 



genauer eine mit einem Schlussel verschlusselte Information 
liefert. Dieses Ticket wird ciurch den Server des "Kunden" 
erstellt. Andererseits reicht das Ticket nicht aus fur eine 
Zugangserlaubnis und es wird bei diesem Verfahren zusammen mit dem 
Ticket noch eine zweite verschlusselte Information benutzt. 

Ein solches Verfahren ist schwerfallig und verlangt relativ 
leistungsstarke Recheneinrichtungen, was kein Hindernis ist bei 
der vorgesehene Anwendung, aber ein solches werden kann fur andere 
Anwendungen, namlich solche Anwendungen, bei denen der Speicher- 
platz und die Recheneinrichtungen nicht so groS sind wie bei einem 
Server. 

Die zweite verschlusselte Information wird erstellt fur 
einen Zugang zwischen einem Kunden und einem Server und kann nur 
einmal fur diese Verbindung benutzt werden. 

Man kann sich auSerdem auf das Dokument EP-A-0 122 244 aus 
dem Stand der Technik beziehen, das der vorliegenden Erfindung am 
nachsten kommt . 

Die vorliegende Erfindung hat die Aufgabe, die oben 
genannten Nachteile zu beseitigen. 

AuSerdem ist es erf indungsgemaS nicht notig, eine schwarze 
Liste verlorener oder gestohlener oder duplizierter Zugangsein- 
richtungen zu erstellen und zu verwalten, wie die Folge der 
Beschreibung zeigt, denn ein verlorener oder gestohlener Trager 
kann keine Zugangsberechtigung aufierhalb des autorisierten 
Stunden- bzw. Zeitbereichs lief em, wenn diese nicht erneuert 
wird. Die Aufnahme eines solchen Tragers in eine schwarze Liste 
ist umso nutzloser, je kurzer die Zugangsberechtigungsdauer ist. 

Erf indungsgemaS erfolgt die Zugang skontrolle nicht durch 
mechanische Einrichtungen sondern durch logische Einrichtungen 
mittels einer elektronischen Signatur von Daten bezuglich einer 
vorher festgelegten Zugangsberechtigungsperiode, die die 
Benutzungsgultigkeit des Tragers begrenzt, in dem sie abge- 
speichert ist. Erf indungsgemaS wird die Signatur namlich in dem 
tragbaren Speicherungs trager abgespeichert, ebenso wie - je nach 
benutztem Algorithmus die GrolSe urn den Zugang zu alien Geraten 
zu ermoglichen, die das erf indungsgemaSe Sicherungssystem 
enthalten. 



Die vorliegende Erfindung hat insbesondere ein 
Zugangskontrollsystem nach Anspruch 1 zum Gegenstand. 

Der Begriff der elektronischen Signatur bzw. Unterschrift 
mu£ hier im im weiteren Sinne verstanden werden. Es kann sich urn 
eine elektronische Signatur handeln, die mit Hilfe irgendeines 
bekannten Verschlusselungsmechanismus zustande kommt, namlich 
Chi f frier- oder Authentisierungsverf ahren. 

Vorzugsweise umfafit die die vorher festgelegte 
Gultigkeitsperiode betreffende GroGe DH eine Benut zungsdatums- 
information und einen Benut zungzeitbereich. 

Nach einer Ausf uhrungsart werden meherere Signaturen Sj 
durch die Schlusselerstellungseinrichtungen (S) berechnet und 
aufgezeichnet auf den Tragern der Benutzer, wobei man diese 
Signaturen aus demselben Geheimschlussel K und einer Erzeugungs- 
funktion f wie SJ = f(K, DH, a j ) erhalt und die Parameter aj dabei 

vorher festgelegt und in den elektronischen Verriegelungen 

<? *** 

abgespeichert werden. Man begrenzt nach dieser Ausf uhrungsart die 
Anzahl der Zugange eines Benutzers in der betreffenden Periode. 
Dieser hat ebensoviele Zugangsberechtigungen wie die Anzahl der 
fur die betreffende Periode berechneten und auf seinem Trager 
abgespeicherten Signaturen. Fur jeden Zugang ist eine Signatur 
erforderlich. 

Nach einer Ausfuhrungsart erhalt man die Signatur mittels 
eines Erzeugungsalgorithmus mit geheimem Schlussel . 

Nach einer anderen Ausfuhrungsart kann man die Signatur 
mittels eines Erzeugungsalgorithmus mit offentlichem Schlussel 
herstellen. 

Erf indungsgemaS wird die Signatur in dem Anwendungsf all der 
offentlichen Benutzung vorzugsweise mit einem Algorithmus mit 
offentlichem Schlussel hergestellt, d. h. in dem Fall, wo die 
Uberprufung der Signatur durch Einrichtungen erfolgt, die offent- 
lich zuganglich sind. 

Nach einer weiteren Ausfuhrungsart ist der zum Erstellen 
der Signaturen benut zte Schlussel derselbe fur alle Signaturen, 
die in den Tragern geladen sind und erneuert werden. 

Nach einer weiteren Ausfuhrungsart der Erfindung ordnet man 
diesem Schlussel K eine GroSe Z zu, verschieden je nach 



geographischer oder logischer Benutzungszone, urn diese Benutzungs- 
zonen unterscheiden zu konnen. 

Nach einer weiteren Ausf uhrungsart benutzt man verschiedene 
Schlussel, um die periodisch geladenen Signaturen zu erstellen, 
wobei pro festgelegter geographischer oder logischer Zone ein 
Schlussel erstellt wird. 

Nach einer anderen Charakteristik der Erfindung kann man 
einen diversif izierten Schlussel Kc benutzen, erzeugt mittels 
einer Diversif ikationsf unktion bekannten Typs . 

Nach einer weiteren Charakteristik der Erfindung unterteilt 
man den festgelegten Gultigkeitszeitbereich in eine bestimmte 
Anzahl von auf einanderf olgenden Stunden- bzw. Zeitbereichen und 
erstellt eine Signatur Si fur jeden dieser Bereiche. 

Die Erfindung wird besser verstandlich durch die 
nachf olgende, erlauternde und nicht einschrankende Beschreibung, 
bezogen auf die beigefugten Zeichnungen: 

- die Figur 1 stellt ein Prinzipschaltbild eines erf indungsgemafien 
Systems dar, 

- die Figur 2 zeigt das praktische Ausf uhrungsschaltbild der 
Kontrolleinrichtungen der elektronischen Schlussel nach der 
Erfindung, 

- die Figur 3 zeigt das praktische Ausfuhrungsschaltbild eines 
erf indungsgemafien Speicherungstragers . 

In der Folge der Beschreibung versteht man unter Signier- 
Entitat oder berechtigter Entitat die Erstellungseinrichtungen der 
elektronischen Schlussel, d.h. der Paare S, DH (elektronische 
Signaturen und GroSen) , wobei diese Einrichtungen au&erdem das 
Laden dieser Signaturen in die Speicherungstrager ermoglichen. Man 
versteht unter elektronischer Verriegelung die Kontrollein- 
richtungen der in den Speicherungstragern gelesenen GroSen. 

Die Signier-Entitat ist erf indungsgemaS fahig, eine 
elektronische Signatur S mittels einer Erzeugungsf unktion f und 
eines geheimen Schlussel s K zu erzeugen. 

Die elektronische Signatur einer GroSe DH durch die 
Signier-Entitat kann S = f (K, DH) geschrieben werden. 

Damit die Signatur der Signier-Entitat durch jede der den 
Zugang gewahrenden logischen Verriegelungen uberpruft werden kann, 
verfugen diese Verriegelungen uber adaquate Verschliisselungsein- 
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richtungen. Diese Einrichtungen umfassen einen Pruf algorithmus f 
und einen Pruf schlussel K' , der, je nach dem, ob der 
Signaturalgorithmus eineri geheimen Schlussel oder einen offent- 
lichen Schlussel aufweist, gleich dem geheimen oder offentlichen 
Schlussel der Signier-Entitat ist. Im ersten Fall hat man folglich 
K = K' ; im zweiten Fall ist es bei Kenntnis von K' unmoglich, 
daraus K abzuleiten. 

Je nach vorgesehenen Anwendungen befinden sich die 
elektronischen Verriegelungen in einer offentlich zuganglichen 
Umgebung oder in einer abgeschlossenen Umgebung. Wenn die 
elektronischen Verriegelungen sich in einer offentlichen Umgebung 
befinden, benutzt man vorzugsweise einen Algorithmus mit 
offentlichen* Schlussel, so daS diese elektronischen Verriegelungen 
keine geheime Information enthalten und es keinen Grund gibt, 
ihren Inhalt mit betrugerischer Absicht zu lesen. Derart wird die 
Sicherheit des Systems erhoht und Vandalismus, da gegenstandslos, 
vermieden. 

Der Speicherungstrager hat dann erf indungsgemaS die 
Funktion eines elektronischen Schlussels, der alle elektronischen 
Verriegelungen offnen kann, die uber ein gesamtes Gebiet oder in 
einer speziellen Zone eingerichtet sind. Erf indungsgemaS erhalt 
man den elektronischen Schlussel aus einer eine bestimmte 
Zugangsberechtigungsperiode betreffenden GroSe, die die Gultigkeit 
des Tragers begrenzt. Diese Periode umfaSt z.B. Datum und Stunde 
des Beginns des Zeitbereichs und Datum und Stunde des Endes des 
Zeitbereichs, in der Folge DH genannt. Es kann sich auch urn ein 
Datum und eine Stunde des Endes der Berechtigung handeln. Bei der 
Zugangskontrolle uberpruft die elektronische Verriegelung, die 
vorteilhaf terweise mit einer internen Uhr versehen ist, ob die 
laufende Datum/Zeit-Inf ormation sich innerhalb des Bereichs 
befindet, und uberpruft dann die Signatur mit Hilfe des 
Prufschlussels (geheim oder offentlich, je nach Fall), uber den 
sie verfugt. Wenn beide Prufungsbedingungen erfullt werden, sendet 
die Verriegelung ein Zugangsberechtigungssignal A. 

Wenn z.B. ein Geheimschlussel -Algorithmus benutzt wird, 
liest die elektronische Verriegelung den in dem Speicherungstrager 
aufgezeichneten Bereich DH, liest mittels ihrer internen Uhr die 
laufende Datums- und Stundeninf ormation und uberpruft, ob diese 



Information sich innerhalb des in dem Trager gelesenen Bereichs 
befindet, und berechnet dann eine Signatur S' - f (K, DH) . Die 
Verriegelung liest ebenfalls die Signatur, die in dem Trager 
abgespeichert ist und uberpriift, ob die berechnete Signatur gleich 
der gelesenen Signatur ist oder nicht. 

Falls man einen Algorithmus mit offentlichem Schlussel 
benutzt, liest die elektronische Verriegelung die den Zeitbereich 
DH betreffende GroSe, liest das Datum und die Stunde ihrer 
internen Uhr und uberpruft, ob dieses Datum und diese Stunde sich 
auch innerhalb des in dem Trager gelesenen Bereichs befindet. Die 
elektronische Verriegelung liest ebenfalls die in dem Trager 
gespeicherte Signatur S und uberpruft mit Hilfe der Prufungs- 
funktion f und des K zugeordneten offentlichen Schliissels K' , ob 
diese Signatur S wirklich die Signatur der GroSe DH ist, was 
f olgendermaSen ausgedruckt werden kann: 

f ' (K' , DH, S) = "OK" , 
wobei die Information "OK" in der Praxis einem Bit mit 1 oder mit 
0 entspricht, je nach gewahlter Konvention. 

In der Folge werden praktische Ausfiihrungsbeispiele 
detailliert beschrieben. Zum besseren Verstandnis kann man sich 
auf die Figuren 1 bis 3 beziehen. 

Wie schon erwahnt, ermdglicht das erf indungsgemaSe System, 
das Fuhren von schwarzen Listen und deren Verwaltung bei jeder 
Zugangsanf rage z.B. zu Gebauden oder Inf ormatiksystemen oder jeder 
anderen Art von Objekten, wie dies bei den Techniken der 
vorhergehenden Technik erforderlich ist, zu vermeiden. 

Urn dieses Ziel zu erreichen, ersetzt die Erfindung die mit 
einem mechanischen Schlussel verbundenen traditionellen mechani- 
schen Zugangseinrichtungen durch eine logische Einrichtung, die 
auf einer elektronischen Signatur beruht, berechnet durch eine 
berechtigte Entitat, die dazu einen geheimen Schlussel K erhalten 
hat. 

Die Erfindung besteht daher auSerdem darin, in jeden Trager 
eine elektronische Signatur zu laden. Die durch diese elektro- 
nische Signatur signierte Grofie umfaSt eine GrdSe, die eine 
f estgelegte Benutzungsgiiltigkeitsperiode betrif f t . AuSerhalb 
dieser Benutzungsgiiltigkeitsperiode wird die Signatur nicht mehr 
erkannt und der Zugang wird folglich nicht freigegeben. Wenn nicht 



das Laden einer neuen Signatur stattgefunden hat, wird der Zugang 
nicht mehr freigegeben. 

In Figur 1 ist das Schaltbild eines erf indungsgemaSen 
Systems dargestellt. Dieses System umfaSt Erzeugungseinrichtungen 
elektronischer Signaturen LE. In der Praxis konnen diese 
Einrichtungen durch einen Leser-Codierer gebildet werden, der 
einen Mikroprozessor oder einen Mikrocont roller umfaSt, 
programmiert urn einen Erzeugungsalgorithmus f durchzufuhren. Es 
kann sich z.B. urn einen Algorithmus mit geheimem Schlussel oder 
einen Algorithmus mit bekanntem offentlichem Schlussel handeln. 

Man kann z.B. als Geheimschlussel -Algorithmus den Algorith- 
mus DES (Data Encrytion Standard) nennen und als Of f entlicher- 
Schlussel -Algorithmus den Algorithmus RSA (Rivest Shamir Adleman) . 

In der Folge der Beschreibung werden diese Algorithmen 
durch eine Funktion f dargestellt. 

Der Leser/Codierer ermoglicht auSerdem, die Signaturen in 
die Speicherungstrager zu laden. Dazu wahlt man einen bekannten 
und an den gewahlten Speicherungstrager angepaSten Leser/Codierer. 
Beispielsweise kann man auf dem Markt vorhandene Leser/Codierer 
nehmen, die ermoglichen, eine Magnetkarte oder eine Speicherkarte 
mit bundig eingelassenem Kontakt zu lesen und zu beschreiben, oder 
einen Leser/Codierer, angepaSt an das Lesen und Beschreiben eines 
elektronischen Schlussel s mit bundig eingelassenem Kontakt, oder 
einen Leser/Codierer, angepaSt an das Lesen und Beschreiben von 
Karten ohne Kontakt . 

Das in Figur 1 dargestellte Beispiel zeigt das elektro- 
nische Schaltbild eines Leser/Codierers, der an das Lesen und 
Beschreiben eines Speicherungstragers des Typs Speicherkarte 
angepaSt ist. 

Dieser Leser/Codierer-Typ ist bekannt und umfaSt einen 
Mikroprozessor 100 (oder Mikrocont roller) mit einem zugeordneten 
Programmspeicher 101 des Typs ROM oder EPROM (elektrisch loschbar) 
und eventuell einen Arbeitsspeicher 102 des Typs RAM. 

Dieser Leser/Codierer LE umfaSt ein Eingang/Ausgang- 
Interface 103, angepaSt an den Speicherungstrager. Es umfafit im 
Falle eines kontaktlosen Schreib-/Lesetragers eine Sende- 
Empfangsantenne. Er umfaSt Kontakte, die angepaSt sind an die 
bundig eingelassenen Kontakte wie z.B. diejenigen der Chipkarten 



Oder der elektronischen Schlussel . Dieser Leser umf aiSt auSerdem 
eine nicht dargestellte Tastatur. 

Der nichtfluchtige Speicher 101 des Leser/Codierers LE 
enthalt das Anwendungsprogramm der gewahlten Funktion f und ein 
klassisches Lese- und Schreibprogramm fur einen Speicherungs- 
trager. Der Schlussel K wird ebenfalls in diesem Speicher 
auf gezeichnet . 

Die berechnete Signatur kann dieselbe sein fur alle Trager. 
Wenn die Signatur S die Signatur einer GroSe DH ist, bedeutet 
dies, daS diese GroSe DH dieselbe fur alle Trager ist. 

Die berechneten Signaturen konnen fur jeden Trager ver- 
schieden sein. 

Die fur jeden Trager bestimmten Signaturen S konnen dann im 
voraus berechnet werden oder nach und nach. Falls sie im voraus 
berechnet werden, mussen die jede Anwendung betreffenden GroSen DH 
in einem nichtf luchtigen Speicher des Leser/Codierers aufge- 
zeichnet werden. In diesem Falle wird auch eine Tabelle 
gespeichert, urn fur jede Anwendung das Paar: Signatur S-Gr6Se DH, 
das ihr zugeteilt ist, in Ubereinstimmung zu bringen. 

In diesem Fall, wenn ein Speicherungstrager durch einen 
Benutzer in den Leser/Codierer eingefuhrt wird, gibt der Benutzer 
seine Identif ikationsnummer auf der Tastatur des Leser/Codierers 
ein und der Leser/Codierer kann dann in der Tabelle die Signatur S 
und die GroSe DH, die dieser Benutzung zugeteilt sind, suchen und 
sie in den Speicher des Tragers laden. 

Selbstverstandlich kann man anders vorgehen, ohne daS dies 
das Prinzip der Erfindung verandert . Die Signaturen konnen namlich 
nach und nach berechnet werden, entsprechend dem Bedarf, d.h. bei 
jeder Ladungsanf rage in den Speicherungstrager durch einen 
Benutzer. In diesem Fall ist es nicht notwendig, eine Tabelle 
abzuspeichern, die die verschiedenen Signaturen enthalt und die 
verschiedenen GroSen, von denen jede einen Benutzer betrifft. Der 
Benutzer gibt selbst seine eigene GroSe DH ein und es erfolgt eine 
Echtzeit-Berechnung durch den Leser/Codierer LE. 

Die erzeugten Signaturen konnen unterschiedlich sein, da 
die gewahlten Erzeugungsschlussel verschieden sind. Dieser 
Unterschied kann durch eine vorher festgelegte GroSe Z eingefuhrt 
werden, die ermoglicht, Benutzungszonen - entweder geographische 



Oder logische - zu unterscheiden. Es handelt sich um eine 
logischen Zone, wenn es darum geht, in einem Informatiksystem den 
Zugriff auf gewisse Programme freizugeben und auf andere nicht. 

Erf indungsgemafi sind die Gebaude oder die einer Zugangs- 
kontrolle unterliegenden Systeme auSerdem mit einer Prufein- 
richtung des Typs elektronische Verriegelung ausgerustet, die in 
der speziellen, beschriebenen Anwendung gebildet wird durch einen 
Leser des Typs Kartenleser fur Karten mit bundig eingelassenen 
Kontakten, wie in Figur 2 dargestellt, oder einen kontaktlosen 
Leser oder einen Magnet streif enleser, je nach verwendetem Trager. 

Dieser Leser L enthalt auf klassische Weise eine 
Verarbeitungseinheit 200, gebildet durch einen Mikroprozessor und 
Speicher, die ihm zugeordnet sind: einen nichtf luchtigen Speicher 
201 und einen Arbeitsspeicher 202. Der Leser umfaSt auSerdem einen 
interne Uhr 203. In dem nichtf luchtigen Speicher (z.B. des Typs 
ROM) befindet sich einprogrammiert die verwendete 

Signaturprufungs-funktion f sowie der Schliissel K zum Prufen der 
Signaturen. 

Der Speicherungstrager umfaSt einen nichtf luchtigen 
Speicher 301, wobei man vorzugsweise einen elektrisch 
wiederprogrammierbaren Speicher wahlt (NV-RAM oder EE PROM) . Nach 
bestimmten Anwendungen kann der Speicherungstrager auSerdem eine 
Verarbeitungseinheit des Typs Mikroprozessor 300 mit einem 
zugeordneten Speicher 3 02 des Typs ROM umfassen, die eine oder 
mehrere Verschlusselungsf unktionen umfaSt. ' Ein solcher 
Speicherungstrager ist in Figur 3 schematisiert . 

Die Erfindung kann vorteilhaf terweise durch Brieftrager fur 
den Zutritt zu Gebauden benutzt werden (und eventuell fur die 
Briefkasten) . 

Jeder Brieftrager verfugt dann uber einen elektronischen 
Schlussel, der ihm innerhalb eines bestimmten Zeitbereichs den 
Zutritt zu alien Gebauden (und eventuell den Briefkasten dieser 
Hauser) einer bestimmten Zone ermoglicht. Dazu wird taglich in den 
Schlussel eine gewisse Anzahl charakteristischer Informationen 
bzw. Daten dieser Zone und dieses Bereichs eingeschrieben. 

Selbstverstandlich kann die Erfindung durch jede andere 
Organisation benutzt werden, die haufig Zutritt zu Gebauden haben 
mulS. Bei dieser Anwendung sind alle in den elektronischen 



Verriegelungen enthaltenen, zu einer bestimmten Zone gehorenden 
und eine bestimmte Organisation betreffenden Daten bzw. Grofien 
identisch und der im Besitz eines Mitglieds dieser Organisation 
befindliche elektronische Schlussel dient als elektronischer 
Passepartout . 

Dem Brieftrager wiirde es nichts nutzen, den elektronischen 
Schlussel zu duplizieren, da dieser nach Ablauf der Benutzungs- 
dauer aufhort, den Zugang zu ermoglichen. 

Falls die Anzahl der Benutzungen innerhalb der betreffenden 
Periode begrenzt ist, liefert ihm jede in seine Karte geladene 
Signatur Sj ein Zugangsrecht und kann nicht wiederbenutzt werden. 
Dazu kann die Berechnung der Signatur vorher festgelegte Parameter 
aj umfassen, die z.B. fur alle Karten gleich sein konnen. Diese 
Parameter sind in den Verriegelungen gespeichert. 
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LA POSTE 

PATENTANSPRUCHE 

1 . Zugangskontrollsystem, umf assend : 

- tragbare Speichertrager (C) , 

- Einrichtungen (LE) , befahigt wenigstens einen elektronischen 
Schlussel zu liefern und ihn in den im Besitz eines Benutzers 
befindlichen Speichertrager einzuschreiben, urn ihm eine Zugangs- 
berechtigung zu den Systemen zu geben, die man zu schutzen 
versucht, wobei dieser Schlussel wenigstens eine GroSe DH 
umfafit, die einer festgelegten Zugangsberechtigungsperiode 
entspricht , 

- Einrichtungen (L) , eine elektronische Verriegelungsfunktion 
sicherstellend, befahigt ein Zugangsberechtungs signal (A) zu 
liefern, 

dadurch gekennzeichnet, daS der gelieferte Schlussel ebenfalls 
eine Signatur S der GroSe DH umfaSt, wobei die zum Liefern dieses 
Schlussels befahigten Einrichtungen fahig sind, auf Anfrage des 
Benutzers fur jede neue Benutzungsperiode eine neue Signatur S zu 
erstellen und sie in seinen Speichertrager zu laden, urn ihm seine 
Zugangsberechtigung so oft wie notig zu erneuern; 

und dadurch gekennzeichnet , daS die die Verriegelungsfunktion 
sicherstellenden Einrichtungen das Zugangsberechtigungssignal in 
dem Fall liefern, wo der Speichertrager (C) die GroSe DH und die 
fur die betreffende Benutzungsperiode erforderliche Signatur S im 
Speicher enthalt, wobei diese Einrichtungen fahig sind, die GroSe 
DH mit der betreffenden Periode zu vergleichen und zu uberprufen, 
ob die Signatur S tatsachlich die Signatur dieser GroSe DH ist. 

2. Zugangskontrollsystem nach Anspruch 1, dadurch gekenn- 
zeichnet, dalS die eine festgelegte Gultigkeitsperiode betreffende 
GroSe DH eine Benutzungsdatumsinf ormation und einen Benutzungs- 
stundenbereich umfaSt. 

3. Zugangskontrollsystem nach Anspruch 1 oder 2, dadurch 
gekennzeichnet, daS die die Verriegelungsfunktion sicherstellenden 
Einrichtungen (L) einen internen Taktgeber (203) umfassen, urn die 
gespeicherte GroSe DH mit der durch den Taktgeber gelieferten 
Echzeit-ZeitgroSe H vergleichen zu konnen. 



4. Zugangskont roll system nach einem der Anspruche 1 bis 3, 
dadurch gekennzeichnet , daS die zum Lief em wenigstens eines 
Schlussels (LE) befahigten Einrichtungen eine Verarbeitungs- 
einrichtung (100) umfassen, verbunden mit wenigstens einem 
nichtfluchtigen Speicher (101) , in dem die GroBe DH abgespeichert 
ist und ein GroEensignaturalgorithmus f, so dalS S = f (K, DH) , 
wobei K ein Geheimschlussel ist und der Algorithmus f ein 
Geheimschlussel- oder Of f entlicher-Schlussel-Algorithmus ist. 

5. Zugangskontrollsystem nach Anspruch 4, dadurch 
gekennzeichnet, daS der zum Erstellen der Signaturen fur alle 
Trager (C) benutzte Geheimschlussel K fur alle in diesen Tragern 
(C) geladenen und erneuerten Signaturen derselbe ist. 

6. Zugajigskontrollsystem nach einem der Anspruche 4 oder 5, 
dadurch gekennzeichnet, date man, urn verschiedene geographische 
oder logische Benutzungszonen zu unterscheiden, dem zur Berechnung 
der Signatur S einer Grofce DH benutzten Geheimschlussel K eine je 
nach Zone unterschiedliche GroSe Z zuordnet . 

7. Zugangskontrollsystem nach Anspruch 4, dadurch gekenn- 
zeichnet, daS man verschiedene Geheimschlussel K benutzt. urn die 
Signaturen zu erstellen, wobei pro festgelegter geographischer 
oder logischer Zone ein Geheimschlussel gewahlt wird 

8. Zugangskontrollsystem nach einem der Anspruche 5 oder 6, 
dadurch gekennzeichnet, daS der benutzte Geheimschlussel ein K c = 
Div (K, C) diversif izierter Schlussel ist, wobei C eine 
festgelegte GroSe und Div eine Diversif ikationsfunktion ist. 

9. Zugangskontrollsystem nach einem der vorangehenden 
Anspruche, dadurch gekennzeichnet, daS der festgelegte 
Benutzungsstundenbereich DH durch mehrere auf einanderfolgende 
Stundenbereiche DHi gebildet wird, und dadurch, date die die 
elektronischen Schlussel liefernden Einrichtungen fur jeden dieser 
Bereiche eine Signatur Si erstellen. 

10. Zugangskontrollsystem nach einem der vorangehenden 
Anspruche, dadurch gekennzeichnet, daS mehrere Signaturen Sj 
berechnet und durch die zur Lieferung elektronischer Schlussel 
befahigten Einrichtungen (LE) in den Tragern der Benutzer 
abgespeichert werden, wobei man fur dieselbe GroSe DH diese 
Signaturen aufgrund eines Geheimschlussels K und einer 
Erzeugungsfunktion f erhalt, z.B. Sj = f (K, DH, a j ) , wobei aj 



festgelegte und in den elektronischen Verriegelungen ab- 
gespeicherte Parameter sind. 

11. Zugangskontrollsystem nach einem der Anspruche 1 bis 3, 
dadurch gekennzeichnet , daS die die elektronische 
Verriegelungsfunktion (L) sicherstellenden Einrichtungen eine 
Verarbeitungseinheit (200) umfassen und wenigstens einen 
nichtf liichtigen Speicher (201) , in dem ein Signaturuberprufungs- 
algorithmus und ein Signaturuberprufungsschliissel abgespeichert 
sind. 

12. Zugangskontrollsystem nach Anspruch 11, dadurch 
gekennzeichnet, dafS die die elektronische Verriegelungsf unktion 
(L) sicherstellenden Einrichtungen an das Lesen der Speichertrager 
(C) angepafit sind. 

13. Zugangskontrollsystem nach Anspruch 1.2, dadurch 
gekennzeichnet, daS die die elektronische Verriegelungsfunktion 
(L) sicherstellenden Einrichtungen gebildet werden durch einen 
Leser fur Speicherkarten oder elektronische Schliissel . 

14. Zugangskontrollsystem nach Anspruch 13, dadurch 
gekennzeichnet, dafi der Leser ein Leser fur Magnetkarten ist oder 
ein Leser fur Chipkarten mit bundig eingelassenem Kontakt oder fur 
Chipkarten ohne Kontakt . 

15. Zugangskontrollsystem nach einem der vorangehenden 
Anspruche, dadurch gekennzeichnet, daS die Speichertrager (C) 
einen wiederprogrammierbaren nichtf liichtigen Speicher umfassen 
(geschutztes bzw. gesichertes RAM, EE PROM) 

16. Zugangskontrollsystem nach Anspruch 15, dadurch 
gekennzeichnet, daS die Trager (C) gebildet werden durch 
Speicherkarten mit bundig eingelassenem Kontakt oder durch 
Speicherkarten mit kontaktf reier Lekture oder durch elektronische 
Schlussel oder durch Magnetkarten. 
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